Question:
Quel est le mécanisme juridique par lequel le RGPD pourrait s'appliquer à une entreprise sans présence dans l'UE?
Ben Collins
2018-05-21 09:17:56 UTC
view on stackexchange narkive permalink

Ma famille a une petite entreprise qui vend des produits sur Internet. Pour autant que je sache, il est peu probable que nous ayons des clients citoyens de l'UE, mais ce n'est certainement pas hors du domaine des possibilités, et je ne serais pas opposé à l'expédition vers l'UE si je recevais une commande de quelqu'un en un pays de l'UE.

Cependant, en lisant sur le RGPD, j'ai surtout vu ce qui me semble être une simple affirmation de l'applicabilité mondiale du RGPD à toute entreprise, n'importe où, qui transige avec un citoyen de l'UE.

Mon entreprise n'est présente qu'aux États-Unis. Je ne suis pas citoyen de l'UE, je ne suis représenté dans aucun organe législatif d'un pays de l'UE, et je ne suis pas non plus représenté au Parlement européen. Je ne suis en aucun cas un sujet de l’UE. Pourquoi l'UE s'attendrait-elle à ce que l'une de ses lois s'applique à mon entreprise?

Plus important encore, indépendamment de ce que pensent les régulateurs de l'UE, comment pourraient-ils éventuellement les faire respecter contre moi?

J'ai trouvé ceci sur Politics SE: https://politics.stackexchange.com/q/30509/2008 et il me semble que la réponse est vraiment que l'applicabilité et / ou l'applicabilité du RGPD en dehors de l'UE est avant tout une question politique, pas juridique.
J'étais sur le point de publier une réponse, mais votre principale question est de savoir comment elle est appliquée. Je ne pense pas que pour votre magasin, vous devrez vous en soucier si vous utilisez l'anglais / $ US sur votre site et ne ciblez pas particulièrement les utilisateurs de l'UE comme ici si vous lisez attentivement le dernier paragraphe: http: // www .privacy-Regulation.eu / fr / considérant-23-GDPR.htm.
@PeterJ En fait, je suis également très intéressé par les théories de l’applicabilité, car je ne vois tout simplement pas comment le Parlement européen a une quelconque autorité sur des personnes ou des activités qui se déroulent entièrement en dehors de l’Europe.
@PeterJ en quoi l'utilisation de l'anglais est-elle pertinente? Il y a des dizaines de millions de locuteurs natifs anglais dans l'UE et probablement plusieurs fois plus qui le parlent de manière non native au moins assez bien pour naviguer sur un site de vente au détail.
Quatre réponses:
Free Radical
2018-05-21 13:23:34 UTC
view on stackexchange narkive permalink

Pourquoi l'UE s'attendrait-elle à ce que l'une de ses lois s'applique à mon entreprise?

Ce n'est pas le cas.

À moins que vous choisissez de faire des affaires dans l'UE (ce qui est possible grâce aux merveilles du World Wide Web).

Alors , et alors seulement, devez-vous vous conformer au droit de l'UE, y compris le RGPD.

D'après un commentaire de @BenCollins:

Je parle de la connexion hors UE en ligne commerce de détail qui permet aux Européens (en particulier à ceux qui ne sont pas réellement dans l'UE au moment de la transaction) de passer des commandes.

En gros, l'article 3 du RGPD dit que le GDPR

s'applique au traitement des données personnelles des personnes concernées qui sont dans l'Union

L'expression "dans l'union "est clairement ouvert à l'interprétation, mais selon le site Web Security Now, Dr. Michèle Finck dit ceci:

La plupart des gens semblent convenir que le critère pertinent est de savoir si vous êtes basé dans l'UE au moment où les données sont collectées - citoyenne ou non (je souligne).

Bien que Michèle Finck soit une juriste réputée, elle n'est pas une source juridique faisant autorité, nous devons donc attendre la jurisprudence pour clouer ça. Pour ce que ça vaut, (pas grand-chose j'en ai peur) je pense qu'il serait contraire au bon sens de définir la portée territoriale si large que les magasins physiques aux États-Unis risquent d'être poursuivis en Europe s'ils vendaient des biens ou des services à des européens les touristes.

Cependant, quelles sont la plupart entreprises basées aux États-Unis qui choisissent d'être ouvertes pour les commandes passées par des personnes physiques qui sont dans le [ L'Union européenne a besoin de savoir qu'il y a ceci: selon la loi européenne , le GDRP s'applique à eux lorsqu'ils mènent de telles activités.

De un commentaire de @BenCollins:

Je remets en question les notions selon lesquelles (a) il existe une base sur laquelle la loi s'appliquerait

La base juridique est le droit européen, en particulier l ' article 3 du RGPD.

et (b) qu'il dispose de mécanismes d'application en dehors de l'UE.

Quant à l ' exécution , je pense qu'une bonne réponse a déjà été fournie par Dale M. mais pour être complète: les États-Unis ont des traités avec l'UE qui signifient qu'après une affaire judiciaire a été tranchée par un tribunal de l'UE, elle peut demander aux États-Unis d'appliquer le jugement (généralement en percevant l'amende encourue par l'entreprise basée aux États-Unis lorsqu'elle exerce ses activités en Europe).

Pour rendre cette réponse plus générale, voici une ventilation de la réglementation du champ d'application territorial du RGPD pour les entreprises qui ne sont pas situées dans l'UE:

Le champ d'application est clairement défini dans l ' article 3, et si vous n'êtes pas "un responsable du traitement ou un sous-traitant dans l'Union", vous n'êtes soumis au RGPD que si vos activités de traitement sont liées à :

a) l'offre de biens ou de services, indépendamment ve sur la question de savoir si un paiement de la personne concernée est exigé, à ces personnes concernées dans l'Union; ou

b) la surveillance de leur comportement dans la mesure où leur comportement a lieu au sein de l'Union.

Les entreprises basées aux États-Unis qui se livrent à des pratiques commerciales illégaux en Europe le savent, et a déjà pris des mesures pour se protéger des poursuites en Europe en vertu du RGPD en utilisant des pare-feu pour bloquer l'accès à leurs services depuis l'UE.

Le bas est que si vous:

  1. n'êtes pas présent en Europe et
  2. n'offrez pas de biens ou de services aux personnes qui se trouvent dans l'Union, et
  3. vous ne collectez pas de données personnelles sur les personnes physiques européennes,

alors le RGPD ne s'applique pas à vous. Si au moins l'une des conditions ci-dessus s'applique, vous devez suivre le RGPD si vous ne souhaitez pas être poursuivi dans l'UE.

Le blocage du trafic de l'UE au niveau de mon pare-feu "ne choisit-il pas de faire des affaires dans l'UE"?
Je ne le pense pas - je l'ai posée comme une question rhétorique parce que je pense que cela démontre une question fondamentale que la plupart des gens qui écrivent sur le RGPD ne répondent pas.
Attends quoi? Lisons-nous même le même texte à l'écran? Je parle de la vente au détail en ligne hors UE qui _ permet_ aux Européens (en particulier à ceux qui ne sont pas réellement dans l'UE au moment de la transaction) de passer des commandes, et je remets en question l'affirmation selon laquelle le RGPD s'applique à de telles entreprises qui aucun lien avec l'UE. Plus précisément, je remets en question les notions selon lesquelles (a) il existe une base sur laquelle la loi s'appliquerait et (b) qu'elle dispose de mécanismes d'application en dehors de l'UE.
@BenCollins un citoyen de l'UE qui est en dehors de l'UE n'est pas couvert par le RGPD lorsqu'il fait affaire avec une entreprise en dehors de l'UE. Le RGPD s'applique si une partie est «dans l'Union» (article 3), sans égard à la nationalité de toute personne. La situation la plus intéressante pour votre question serait donc une entreprise en ligne en dehors de l'UE et un client à l'intérieur de l'UE.
@phoog. C'est en fait ce que dit ma réponse, mais merci de le dire en moins de mots.
Mais Ben Collins * est * également préoccupé par les clients * en * Europe, donc la déclaration dans mon commentaire n'est pas une réponse satisfaisante; la question demeure: comment une entreprise américaine (par exemple) pourrait-elle être obligée de se conformer au RGPD vis-à-vis de ses clients dans l'UE?
@phoog, Dale M. a répondu que dessus.
+1 pour avoir amélioré votre réponse, mais j'ai toujours l'impression que la vraie question n'a pas été répondue. Il me semble que le droit européen est une base invalide du simple fait que je ne suis pas européen et que je ne fais rien en Europe.
@BenCollins. Je pense que vous y pensez trop pour * votre * perspective spécifique. Vous pensez probablement qu'il est injuste que les Européens s'adressent à vous, un citoyen américain honnête, dirigeant une petite entreprise de vente au détail. Mais la loi n'est pas spécialement conçue pour vous, elle est écrite pour s'appliquer à * tous * dans son champ d'application. ...
... Supposons que certaines entreprises basées aux États-Unis beaucoup * méchantes * que la vôtre aient compilé une quantité massive de données personnelles sur les Européens, et * vendu * ces informations à tous les preneurs, y compris les meurtriers (ce n'est malheureusement pas un exemple fictif - en octobre 1999 Liam Youens a acheté des données personnelles sur Amy Boyer auprès de [Docusearch] (http://www.docusearch.com/) et les a utilisées pour la localiser et la tuer). Même si une telle entreprise était basée aux États-Unis, n'avait pas de présence européenne, je pense que l'UE * devrait * empêcher une entreprise aussi méchante de profiler des citoyens européens, et le RGPD donne ce pouvoir à l'UE.
@phoog. "Mais Ben Collins est également préoccupé par les clients en Europe," Oui, et c'est pourquoi ma réponse contient * plus de mots * que votre commentaire.
Cela s'applique-t-il à un magasin physique en dehors de l'UE si un touriste européen s'y promène et achète quelque chose?
@1006a. Non. Veuillez lire la réponse.
J'ai lu la réponse; Je ne vois tout simplement pas de distinction claire entre vendre quelque chose à quelqu'un de l'UE qui le ramène chez lui, et vendre quelque chose à quelqu'un de l'UE, puis le leur envoyer par la poste. Ils utilisent probablement la même carte de crédit, les informations que vous collectez sont probablement les mêmes, de nombreux magasins physiques vous aideront même à expédier des marchandises à votre domicile. Pourquoi la façon dont le client vous a trouvé (parcouru par votre magasin ou trouvé votre site Web hors UE) fait-elle une telle différence?
@1006a Je pense que vous avez raison. À première vue, le RGPD s'applique aux données détenues par des contrôleurs de données non européens si la personne concernée est un résident de l'UE * même si les données ont été acquises alors que la personne concernée n'était pas en Europe. * Free Radical: où obtenez-vous "à l'heure de la transaction "à partir de?
@phoog. "D'où obtenez-vous 'au moment de la transaction'?" Au départ, c'était simplement basé sur ma mémoire concernant l'interprétation du RGPD par le Dr Michèle Finck. J'ai déterré la source et je l'ai développée dans la réponse révisée.
Merci d'avoir développé cela. Il n'est pas difficile pour moi d'imaginer, cependant, les circonstances dans lesquelles un visiteur résidant dans l'UE dans un pays non membre de l'UE pourrait fournir des données personnelles dans le cadre d'un achat (par exemple, une chambre d'hôtel) de sorte que l'entreprise sache que le la personne est un résident de l'UE. Il semble exagéré de penser que le RGPD ne s'appliquerait que si la personne visitait ensuite le site Web de l'entreprise après son retour dans l'UE.
@FreeRadical Même votre exemple de meurtre "plus méchant" n'est toujours pas une question de droit européen - leur loi ne devrait même pas être pertinente. Cependant, le pays d'origine de ce criminel peut remettre la personne et dire «faites-en ce que vous voulez», mais c'est en raison de la gravité du problème qui est une question distincte. Ce scénario serait politique.
PeterJ
2018-05-23 11:33:24 UTC
view on stackexchange narkive permalink

En ce qui concerne la question de savoir si votre petite entreprise devra se conformer au RGPD en fonction de certains éléments, je pense que la réponse peut être non. Je lisais récemment un document du gouvernement australien Les entreprises australiennes et le règlement général de l'UE sur la protection des données qui décrit comment il affecte les entités australiennes. Il contient les exemples suivants d'entreprises qui doivent se conformer et je suis sûr que la même chose s'appliquerait aux États-Unis:

  • une entreprise australienne avec un bureau dans l'UE

  • une entreprise australienne dont le site Web cible les clients de l'UE, par exemple en leur permettant de commander des biens ou des services dans une langue européenne (autre que l'anglais) ou en permettant le paiement en euros

  • une entreprise australienne dont le site Web mentionne des clients ou des utilisateurs dans l'UE

  • une entreprise australienne qui suit les individus dans l'UE sur Internet et utilise des techniques de traitement de données pour établir leur profil aux individus d'analyser et de prédire leurs préférences, comportements et attitudes personnels

Cette section fait référence au considérant 12 qui comprend le paragraphe suivant:

Afin de déterminer si un tel responsable du traitement ou sous-traitant propose des biens ou des services aux personnes concernées qui se trouvent dans l'Union, il convient de vérifier s'il est évident que le responsable du traitement ou le sous-traitant envisage de proposer des services aux personnes concernées dans un ou plusieurs États membres de l'Union.

Considérant que la simple accessibilité du site Web du responsable du traitement, du sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse e-mail ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi, est insuffisante pour vérifier cette intention, des facteurs tels que l'utilisation d'une langue ou d'une monnaie généralement utilisée dans un ou plusieurs États membres avec la possibilité de commander des biens et des services dans cette autre langue, ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peut faire apparaître que le responsable du traitement envisage d'offrir des biens ou des services aux personnes concernées dans l'Union.

Ce qui semble confirmer l'interprétation du gouvernement australien selon laquelle si vous utilisez simplement votre devise / langue locale plutôt que ciblant spécifiquement l'UE au moyen de la devise, de la langue ou en mentionnant spécifiquement la zone que vous ne devriez pas avoir à respecter Vous devrez faire attention au dernier point d'analyse et de prédiction des préférences personnelles si vous utilisez une sorte de boutique en ligne qui affiche des pages "produits que vous pourriez aimer" basées sur le comportement passé d'un utilisateur.

J'imagine que l'exemption a été mise en place pour gérer les millions d'entreprises sur Internet qui ont un nombre assez insignifiant de clients dans l'UE qui pourraient autrement simplement arrêter de vendre des biens et des services à l'UE.

Je ne m'attends certainement pas à ce que l'UE envoie ses storm troopers pour détruire toute entreprise opérant en dehors de l'UE sans afficher de politique de confidentialité (comme l'exige le RGPD), donc je pense que c'est un très bon conseil * pratique *. Cependant, d'un point de vue * juridique *, le considérant 23 ne vous informe que des indicateurs qui peuvent "montrer" que vous faites des affaires dans l'Union. Il ne vous dit pas quand vous êtes exonéré (à condition que vous * vendiez * aux Européens).
Dale M
2018-05-21 10:20:04 UTC
view on stackexchange narkive permalink

Si votre entreprise enfreint la loi en France, par exemple, le gouvernement français peut la poursuivre devant un tribunal français. En supposant qu'ils gagnent (ce qui est probable si vous ne défendez pas les poursuites), les États-Unis ont des traités avec la France qui signifient (à quelques exceptions près) que le gouvernement français peut demander l'exécution devant un tribunal américain.

Voilà comment .

Selon cette logique, est-ce que pratiquement aucune entreprise non française ne violerait une sorte de loi française? Par exemple, je n'ai aucun type de licence commerciale française. Pourquoi le gouvernement français ne pourrait-il pas simplement poursuivre toutes les entreprises américaines, imposer une amende, puis demander au gouvernement américain de l'exécuter et de collecter beaucoup d'argent?
@BenCollins Il existe des lois et règlements spécifiques pour les entreprises étrangères, etc. en France. Ou à peu près n'importe quel pays du monde, car c'est une situation presque complètement inévitable dans le monde moderne. L'une des raisons pour lesquelles les petites entreprises ne mènent souvent pas leurs activités en dehors de leur pays est qu'elles ne peuvent pas se permettre les nécessités juridiques (comme un avocat spécialisé dans ce domaine) et techniques de l'entreprise. Les grandes entreprises peuvent se permettre ces choses. Les États-Unis ont diverses agences destinées à aider les petites entreprises dans ces domaines, tout comme d'autres pays.
@BenCollins Parce que la plupart des entreprises américaines ne font pas d'affaires en France - votre médecin par exemple.
@DaleM a-t-il un site Internet accessible aux Français, mais non hébergé en France, comme "faire des affaires en France"?
Il y a des choses à considérer lors de la détermination de faire des affaires dans un pays. Par exemple, l'utilisation d'une langue ou d'une devise acceptée dans ce pays fait partie des considérations valables. Aucun d'entre eux ne suffit à dire qu'une entreprise fait des affaires ou cible un endroit, mais plutôt une détermination est faite sur la nature globale et le fonctionnement de l'entreprise. De plus, la France ne ferait pas cela parce que ses exigences en matière de licences s’appliquent certainement explicitement aux entreprises françaises.
Je ne pense pas que la France ira trop loin. Je serai heureux de déposer une requête en annulation devant le tribunal américain au motif que mon droit protégé par la Constitution à un procès devant jury serait autrement violé.
Nick
2018-05-25 06:44:34 UTC
view on stackexchange narkive permalink

Je ne suis pas avocat, je pense aux normes du droit international (qui sont au-dessus des traités), et autoriser que les traités puisse créer certaines sortes d'exceptions, mais cela ressemble à un cas de revendication excessive de droits juridiques par l'UE . L'UE pourrait être autorisée à revendiquer sa compétence en raison de l'utilisation de l'euro, qui en un sens est la propriété de l'UE (tout comme les États-Unis ont le droit d'interdire le blanchiment d'argent en utilisant des dollars), mais pas en raison de la langue, car, par exemple, la France ne possède pas le français, personne ne le fait, même si la France, à travers L'Académie française, établit des normes pour un français approprié. L'UE peut interdire à ses citoyens d'acheter aux entreprises américaines mais ne peut pas empêcher les entreprises américaines de vendre aux citoyens de l'UE. D'après les articles ci-dessus, il semble que les litiges dans et hors de l'UE devront fixer des limites à l'applicabilité du RGPD. Alors que les traités prévoient apparemment une application internationale, les États-Unis ont mis fin au tourisme en diffamation aux États-Unis après que quelqu'un a remporté un procès au Royaume-Uni contre un livre avec des ventes d'environ 27 exemplaires en raison d'une concession, puis a tenté d'arrêter les ventes de livres aux États-Unis où les ventes étaient importantes. Ainsi, un traité de domestication peut être soumis à une limite similaire et je soupçonne que le Congrès américain ou les États légiféreront une limite à la portée du RGPD, ouvrant ainsi la voie à des litiges. L'idée que la surveillance étrangère de l'activité publique d'une personne peut être interdite par l'UE signifie que les citoyens américains lisant sur les chefs d'État des pays de l'UE violeraient la loi; vous pouvez imaginer jusqu'où un effort pour faire appliquer cette interdiction aboutirait aux États-Unis. Imaginez que l'UE poursuive CBS-TV ou NY Times pour avoir surveillé des personnalités publiques de l'UE ou des citoyens privés, par exemple en interviewant un commerçant berlinois. Donc, pour répondre à la question initiale, si l'affiche n'a aucun lien supplémentaire avec l'UE, il n'est probablement pas sous la juridiction de l'UE, même pour les ventes aux Européens, mais il devrait rester en contact avec les rapports de presse sur les litiges pour voir comment les choses bougent.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...